השותפים שבחרתי לדרך היו הצבא שעמד לצידי כשהחברה הייתה תחת מתקפה

יוסי עמרה, מנכ"ל חברת שירותי המחשוב IT4U, חשב שהוא מתחיל שבוע עבודה בעוד יום ראשון רגיל ושגרתי. מהר מאוד הפרו תלונות מרובות של לקוחות את שגרת העבודה, כשהם חוו קשיים בהתחברות לתשתיות המחשוב שלהם. עמרה החל לבדוק את העניין ושם לב שדרך מערכת צד שלישי שבשימוש החברה, הועתקו 133 מגה של קבצים מתוך מאגר של 100 גיגה. "בתחילה, זה נראה כמו העברת נתונים שגרתית, אז היו לנו ספקות", הוא מסביר. "זה נראה כמו כמות נתונים קטנה יחסית, ולא היה ברור אם מדובר באיום ממשי או בזיהוי שגוי, אבל מהר מאוד מה שנראה כמו יום עבודה רגיל, הפך לסיוט טכנולוגי. היכתה בנו מתקפת סייבר אדירה בעוצמה שלא הכרנו. המסכים הבהבו עם הודעות מוזרות, המדפסות פלטו דפים עם מסרים של חמאס, כבר היה ברור שזו לא תקלה חולפת.

"בערב, בשעה 20:30, קיבלנו התראה ממערך הסייבר על כך שהמידע זורם לכתובת IP שמזוהה כמשטח תקיפה עוין. התברר שמולנו עמדו האקרים מטעם Handala, קבוצה המזוהה עם איראן. החברה שניהלתי בהצלחה במשך עשור שלם ניצבה מול האתגר הגדול ביותר שאי פעם חוותה. בשעה 22:00 קיבלנו פניות מלקוחות נוספים שהתקשו להתחבר למשרדיהם, חלקם לא הצליחו לראות את כונני הרשת. התחלנו לפעול, אבל מרגע לרגע הכאוס הלך וגבר. הבנתי שכדי לצלוח את הקושי הזה, אני חייב עזרה".

מה היו הצעדים הראשונים שנקטתם?
"השלב הראשון היה לעצור את ההתפשטות ולגבש תמונת מצב. חסמנו גישה לשירותי האחסון, שינינו סיסמאות בכל המערכות הקריטיות, ניתקנו גיבויים מהרשת וחסמנו כתובות IP חשודות. במקביל, יצרנו קשר עם מערך הסייבר ועם צוות התגובה של אופק שסייעו לנו להשתלט על האירוע במהירות האפשרית".

כמה זמן לקח לכם לייצב את המערכת ולחזור לשגרה?
"זה היה מרוץ נגד הזמן. הצוות שלנו עבד מסביב לשעון, יחד עם המומחים של אופק. ביום רביעי בצהריים, אחרי ארבעה ימים כמעט ללא שינה, הצלחנו לשחזר את מרבית השירותים ללקוחותינו. מדובר בעסקים שתלויים בתשתיות שלנו, כך שהשבתת מערכות לזמן ממושך הייתה מחוץ לתחום".

איך חוויתם את האירוע מבחינה ארגונית? מה למדתם ממנו?
"מעבר לאתגר הטכנולוגי, זו הייתה חוויה מאתגרת ניהולית ורגשית. אני מודה שלקח לי רגע להתעשת. זהו רגע שבו אתה מרגיש שהכול סוגר עליך – האחריות, ההשלכות, הלחץ – אבל ידעתי שאין לי ברירה אלא לפעול בקור רוח, וזה לא פשוט, ממש לא. את המערכה הזאת לא יכולתי לצלוח לבד. נדרש שיתוף פעולה עם מומחי IR וצוותי תגובה מיומנים. לשמחתי, השותפים שבחרתי לדרך, חברת הסייבר, אופק, שממנה אני רוכש מוצרים, היא הצבא שעמד לצידי כשהייתי תחת מתקפה. ולכן, הבחירה בשותף הנכון היא קריטית.

"הדבר השני המשמעותי הוא מוצרי אבטחת המידע שאתה בוחר. כסף הוא שיקול, אבל הוא לא צריך להיות השיקול היחיד. כשמגיע הרגע האמיתי, אתה מבין שאתה חייב לעבוד עם הפתרונות הטובים ביותר. במקרה שלנו, הגיבוי של Cove מבית N-able פשוט הציל את החברה, חד משמעית. זה נכון לכל מוצר אבטחה שתבחרו – ביום הדין, אתם רוצים לדעת שבחרתם נכון. האירוע חידד אצלנו את החשיבות של גיבויים חכמים, ניהול הרשאות, ושימוש במערכות מתקדמות לניטור ולתגובה. פלטפורמת Cove אפשרה לנו לשחזר במהירות את הנתונים של כל הלקוחות שנפגעו. בזכות זאת, הצלחנו למזער את הנזק בצורה פנומנלית ולמנוע אובדן מידע קריטי.

"דבר נוסף וחשוב מאוד שלמדתי הוא שחברת IT לא יכולה להיות חברת אבטחת סייבר. הייתה איזושהי תפישה שאם אני מוכר מוצרים ללקוחות, אז אני גם אחראי לכך שהארגון שלו יהיה מוגן. כיום, לאחר המתקפה הבנתי שאני חייב לחדד את המקום הזה מול הלקוחות".

זוהי נקודה משמעותית שנוגעת עדיין בהרבה מאוד ספקי IT. תוכל בבקשה להרחיב?
"לאחר האירוע הבנתי שיש חוסר בהירות לגבי אספקת מוצרים ואספקת שירותי ייעוץ סייבר. זה שלקוח קונה מוצר אבטחה, לא מעיד שהוא קנה ביטחון בכך שלעסק שלו לא יקרה כלום. אם יש לקוח שלא מוכן להשקיע בסט בסיסי של מוצרים שאני מאמין בהם, אני לא לוקח עליו אחריות. אני גם מבהיר לו את זה. כי בסופו של דבר, כדי לשמור על חוסן אבטחתי אמיתי, חייבים לעמוד בסטנדרט מסוים. ואם אני אמור להיות זה שנושא באחריות, אני חייב לוודא שהבסיס שעליו אני עובד הוא חזק מספיק. למדתי לשקף את זה, למדתי לתמחר את זה, ולמדתי להפוך את זה למערך של שירותי ייעוץ סייבר.

"כיום, אם לקוח שלי רוצה להיות מוגן באמת, הוא לא יכול רק להסתפק ברכישת מוצרי אבטחה – אלא גם בהשלמת מכלול שלם של שירותים תומכים. זה כולל צוות תגובה שאני יודע להפעיל ברגע האמת, מבדקי חדירות שחיוניים לזיהוי חולשות לפני שהאקרים עושים זאת, והעלאת מודעות של העובדים, כי לא פעם הם החוליה החלשה בשרשרת האבטחה. הכול מתחיל מסטנדרט ברור – ואם עומדים בו, אפשר לייצר חוסן אמיתי. בעקבות התובנה הזו, כיום אני בוחר את הלקוחות שלי. זה אולי מפתיע לשמוע, אבל לא כל עסק שמתעניין בשירותים שלי הופך ללקוח".

אילו צעדים נקטתם כדי למנוע מתקפות דומות בעתיד?
"מיד לאחר האירוע, ביצענו שדרוג מקיף למערכות ההגנה שלנו. שילבנו פתרונות EDR של SentinelOne by N-able, [tk1] שדרגנו את חומות האש, הוספנו מערכת RMM לניהול עדכונים והטמענו את פתרון הגיבוי בענן של Cove, שמאפשר לנו לשחזר מידע במהירות במקרה של תקיפה. בנוסף, התחלנו לבצע מבדקי חדירות תקופתיים לכל הלקוחות, כדי לזהות חולשות לפני שהאקרים עושים זאת".

מה הדבר החשוב ביותר שלמדת מהאירוע הזה?
"מתקפת הסייבר שהיכתה בחברה שלי לא הייתה רק אירוע משברי – היא הייתה רגע מכונן שהבהיר לי מה באמת חשוב בעולם אבטחת המידע. למדתי שאין מקום לפשרות בשני תחומים עיקריים: השותפים שלך לדרך והמוצרים שאתה בוחר. חברת ההפצה הנכונה, כמו גם פתרונות גיבוי ואבטחה איכותיים, יכולים להיות ההבדל בין התאוששות מהירה לקריסה מוחלטת. אני מקווה שאף אחד לא ימצא את עצמו בסיטואציה הזו – אבל אם כן, רצוי שיהיה מוכן".

המלצות לחיזוק אבטחת הסייבר
עמרה חולק מספר המלצות לכל MSP שמעוניין לחזק את אבטחת הסייבר של לקוחותיו:

1. אל תמתינו לאירוע אלא פעלו מראש – השקיעו במערכות ניטור, גיבוי וניהול הרשאות לפני שהאירוע קורה.
2. החזיקו צוות תגובה מקצועי וזמין – התקשרות עם חברת IR או ספק שירותי תגובה מהירים יכולה לחסוך המון זמן ונזק.
3. תתרגלו את הצוות שלכם – הכשרת העובדים והנהלת החברה כיצד לפעול בזמן אירוע היא קריטית למזעור הנזקים.
4. הטמיעו מערכת חזקות ואמינות, כמו גיבוי COVE, וכן מערכת Siem SOC מתקדמת – בעקבות האירוע, שילבה החברה את מערכת N-able Adluminהמאפשרת ניטור ותגובה מהירים לאיומים בזמן אמת. זהו צעד קריטי לכל חברה שרוצה לעלות רמה בהגנה שלה מפני מתקפות סייבר.

אופק דיסט היא חברת ייעוץ והפצה מובילה בתחום הסייבר, הפועלת מאז 2006 ומתמחה בליווי ספקי IT ו-MSSP בישראל. החברה מציעה שילוב ייחודי של מוצרי אבטחת מידע מתקדמים ושירותי ייעוץ מקצועיים, המותאמים לצרכים המורכבים של הארגונים המקומיים. צוות המומחים של אופק מלווה ארגונים בעמידה ברגולציה, שיפור החוסן הארגוני, תגובה לאירועי סייבר והעלאת מודעות עובדים, תוך שותפות פעילה בהכשרות מקצועיות, כנסים וסדנאות ברחבי הארץ.